Abo
  • Services:

Sicherheitslücken: Bankautomaten hacken mit Netzwerkkabel und Tastatur

26 Geldautomaten testete die Sicherheitsfirma Positive Technologies, bei allen fand sie Sicherheitsprobleme. Viele der Probleme sind lange bekannt, doch noch immer sind die Geräte unzureichend geschützt.

Artikel veröffentlicht am , Anna Biselli
Fast alle Geldautomaten haben Sicherheitsprobleme.
Fast alle Geldautomaten haben Sicherheitsprobleme. (Bild: Mirza Babic/Unsplash.com)

Die IT-Sicherheitsfirma Positive Technologies hat in einer ausführlichen Analyse 26 gängige Bankautomaten getestet und bei allen Automaten Schwachstellen gefunden. Die Sicherheitsforscher untersuchtem dabei verschiedene Angriffsmöglichkeiten, von der Netzwerkschnittstelle bis hin zur Verbindung von externen USB-Geräten.

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. CSL Behring GmbH, Marburg, Hattersheim am Main

Sie haben dafür Bankautomaten der Firmen NCR, Diebold Nixdorf und GRGBanking untersucht und zunächst ihre Systemeigenschaften analysiert. Dabei stellten sie unter anderem fest, dass 15 der Gerätetypen immer noch auf Windows XP laufen, für das der Support bereits im Jahr 2014 eingestellt wurde.

Mit einer externen Tastatur und Alt+F4 Zugriff aufs Betriebssystem bekommen

Bei 76 Prozent der Geräte konnten Angreifer den Kiosk-Modus umgehen. In der Regel soll die einzige zugängliche Anwendung das Geldautomaten-Programm sein. Lässt das Gerät zu, dass diese beendet wird, können sich Angreifer Zugriff auf das darunterliegende Betriebssystem verschaffen und andere Prozesse starten. Dafür müssen sie physischen Zugriff auf die Peripherieschnittstellen haben, um beispielsweise eine Maus oder eine Tastatur anzuschließen. Oftmals verhindert die Automatensoftware nicht, dass gängige Tastenkombinationen wie Alt+F4 benutzt werden, um ein Programm zu schließen.

85 Prozent der Automaten waren verwundbar für netzwerkbasierte Angriffe. Diese können unter anderem darin bestehen, dass Angreifer sich zwischen den Automaten und das Processing Center auf dem Bank-Server schalten. So können sie etwa die Anzahl der Banknoten manipulieren, die der Automat ausgibt. Diese Verwundbarkeit besteht dann, wenn die Datenübertragung zwischen dem Automaten und der Bank nicht verschlüsselt ist, VPN-Verbindungen entweder nicht bestehen oder umgangen werden können und die Datenübertragungen nicht authentifiziert werden - und der Automat so die Quelle der Steuerungsanweisungen nicht überprüft.

Mit dem Netzwerkkabel die Kommunikation zwischen Bank und Automat manipulieren

Netzwerkangriffe setzen voraus, dass Angreifer physischen Zugriff auf die Netzwerkschnittstelle des Automaten haben. Bei manchen Gerätetypen befindet sich diese innerhalb des Gerätes und der Automat müsste aufgebrochen werden. Bei anderen befand sich das Modem jedoch sogar außerhalb der Gehäuse, so dass der Zugriff leichtfällt.

Ein weiterer getesteter Angriffstyp sind die sogenannten Black-Box-Attacken, bei denen Zugriff auf die Schnittstelle von der Geldausgabe-Einheit zur Steuerungseinheit des Automaten notwendig ist. 69 Prozent der untersuchten Geräte waren hierfür anfällig. Die Forscher gaben an, dass ein solcher Angriff etwa zehn Minuten dauern würde.

Dafür könne man auch einen einfachen Raspberry Pi benutzen, der zwischen die beiden Gerätebestandteile geschaltet wird. Fehlen an dieser Stelle Verschlüsselungs- und Authentifizierungsmethoden, lassen sich auch in diesem Fall eigene Kommandos ausführen oder sogar manipulierte Firmware installieren.

Die meisten Verwundbarkeiten waren bereits bekannt

Die meisten der Verwundbarkeiten, die die Forscher fanden, waren bekannt und wurden bereits ausgenutzt. Im Jahr 2016 führte die IT-Sicherheitsfirma Kaspersky eine Analyse durch und fand heraus, dass beinahe jeder Geldautomat weltweit gekapert werden könne. Auf der US-Hacker-Konferenz Black Hat demonstrieren Sicherheitsexperten regelmäßig Angriffe auf diese Geräte, im Jahr 2017 hackten sie einen Automaten der Firma Diebold Nixdorf, der daraufhin Geld ausgab, bis er leer war.

Doch die Forscher fanden in diesem Jahr auch drei zuvor unbekannte Verwundbarkeiten im Sicherheitsmodul Safensoft Softcontrol. Sie konnten zunächst das Passwort im Klartext auslesen, mit dem das Modul konfiguriert werden konnte und es so ausschalten. Im zweiten Schritt konnten sie den Softwarebestandteil aushebeln, der die Integrität installierter Software prüft, und so in einem weiteren Schritt bei Updates beliebige Software auf den Automaten spielen.

Viele der Angriffe würde es bereits vereiteln, wenn der physische Zugang zu den Schnittstellen der Geräte erschwert würde. Im Vergleich zum Safe, der die Banknoten enthält, kann man auf die Kabel der Geräte vergleichsweise leicht zugreifen - etwa durch ein ins Gehäuse gebohrtes Loch. Als weitere Vorsichtsmaßnahme empfahl Leigh-Anne Galloway, Leiterin der Cybersicherheitsabteilung von Positive Technologies, Logging- und Monitoringmechanismen zu etablieren, um Angriffe schnell erkennen zu können und die Sicherheitslücken zu schließen.



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. (u. a. ES Blu-ray 10,83€, Die nackte Kanone Blu-ray-Box-Set 14,99€)
  3. 5€ inkl. FSK-18-Versand

natrius 28. Nov 2018

Ja, getestet, nein, funktioniert nicht.

FreiGeistler 21. Nov 2018

Och, das mit den Dieseln finde ich ganz in Ordnung. Insbesondere da Deutsche Fahrzeuge...

dummzeuch 21. Nov 2018

... kann es der Allgemeinheit doch egal sein. Wenn die Bank durch Sicherheitslücken am...

M.P. 20. Nov 2018

Die Anmutung erinnert schon ein wenig an "Rotlichtviertel" ...

Geddo2k 20. Nov 2018

Für die Allgemeinheit sind die Automaten sicher genug. Wenn man z.B. durch anbohren...


Folgen Sie uns
       


Touch-Projektoren von Bosch angesehen (CES 2019)

Die Projektoren von Bosch erlauben es, das projizierte Bild als Touch-Oberfläche zu verwenden. Das ergibt einige interessante Anwendungsmöglichkeiten.

Touch-Projektoren von Bosch angesehen (CES 2019) Video aufrufen
Urheberrecht: Warum die Kreativwirtschaft plötzlich Uploadfilter ablehnt
Urheberrecht
Warum die Kreativwirtschaft plötzlich Uploadfilter ablehnt

Eigentlich sollte der umstrittene Artikel 13 der EU-Urheberrechtsreform die Rechteinhaber gegenüber Plattformen wie Youtube stärken. Doch nun warnen TV-Sender und Medien vor Nachteilen durch das Gesetz. Software-Entwickler sollen keine zusätzlichen Rechte bekommen.
Von Friedhelm Greis

  1. Leistungsschutzrecht und Uploadfilter EU-Länder bremsen Urheberrechtsreform aus
  2. EuGH-Gutachten Deutsches Leistungsschutzrecht soll unzulässig sein
  3. Leistungsschutzrecht So oft könnten Verlage künftig an Bezahlartikeln verdienen

Datenschutz: Nie da gewesene Kontrollmacht für staatliche Stellen
Datenschutz
"Nie da gewesene Kontrollmacht für staatliche Stellen"

Zur G20-Fahndung nutzt Hamburgs Polizei eine Software, die Gesichter von Hunderttausenden speichert. Schluss damit, sagt der Datenschutzbeauftragte - und wird ignoriert.
Ein Interview von Oliver Hollenstein

  1. Brexit-Abstimmung IT-Wirtschaft warnt vor Datenchaos in Europa
  2. Österreich Post handelt mit politischen Einstellungen
  3. Digitalisierung Bär stößt Debatte um Datenschutz im Gesundheitswesen an

IT-Jobs: Ein Jahr als Freelancer
IT-Jobs
Ein Jahr als Freelancer

Sicher träumen nicht wenige festangestellte Entwickler, Programmierer und andere ITler davon, sich selbstständig zu machen. Unser Autor hat vor einem Jahr den Schritt ins Vollzeit-Freelancertum gewagt und bilanziert: Vieles an der Selbstständigkeit ist gut, aber nicht alles. Und: Die Freiheit des Freelancers ist relativ.
Ein Erfahrungsbericht von Marvin Engel

  1. Agilität Wenn alle bestimmen, wo es langgeht
  2. Studie Wo Frauen in der IT gut verdienen
  3. Freiberuflichkeit Bin ich zum Freelancer im IT-Business geeignet?

    •  /